Sicurezza web-server/lan

DigitalKiller · 03-08-2005, 16:42

Non so in quale sezione aprire questo 3d in quanto l'argomento riguarda sia linux che le reti...Se ho sbagliato chiedo scusa ai mod..

Devo mettere online un'applicazione web che ho sviluppato. Sul web server, insieme a questa applicazione, girerà un programma in java che legge i dati da un iSeries e li carica in mysql.
Il problema è proprio questo..se qualcuno riuscisse a bucare il server, avrebbe accesso a tutta la rete aziendale, compreso l'iSeries (anche se su quest'ultimo non farebbe danni).
Mi è stato suggerito di attivare un'altra linea adsl e di installare una seconda scheda di rete. In questo modo avrei un'interfaccia rivolta verso la lan ed un'altra verso l'esterno.
Mi è stato anche detto di scrivere uno script (forse in perl) per aprire e chiudere le due interfacce (aprire quella verso l'esterno e contemporaneamente chiudere quella verso l'inerno e viceversa).
Così facendo, però, il sito risulterebbe irraggiungibile per alcuni minuti (per tutta la durata dell'aggiornamento) diverse volte al giorno...
Come soluzione non mi sembra ottimale! Esistono altre possibilità?

WebWolf · 03-08-2005, 22:02

Non ho ben capito cosa ti han detto di fare, però intanto è meglio specificare come è l'attuale situazione.

Generalmente si utilizza una macchina (linux) che funziona da firewall. Questa macchina può essere dotata di 3 schede di rete: 1, 2 e 3.

La 1 va al router.
La 2 va alla rete interna.
La 3 va ai servizi accessibili dall'esterno (web server, ecc).

Le policy di accesso si possono definire con le iptables, oppure si installa una versione linux adatta a questo scopo. Ce ne sono diverse, una delle più semplici è Smoothwall.

In questo modo utilizzi una sola connessione, ma è come se il server web fosse su una rete diversa. Di solito è chiamata DMZ questa soluzione (zona demilitarizzata).

La parte a cui bisogna prestare più attenzione sono ovviamente le impostazioni del firewall.

DigitalKiller · 04-08-2005, 10:05

Quote:

Originariamente inviato da WebWolf

Non ho ben capito cosa ti han detto di fare, però intanto è meglio specificare come è l'attuale situazione.

Generalmente si utilizza una macchina (linux) che funziona da firewall. Questa macchina può essere dotata di 3 schede di rete: 1, 2 e 3.

La 1 va al router.
La 2 va alla rete interna.
La 3 va ai servizi accessibili dall'esterno (web server, ecc).

Le policy di accesso si possono definire con le iptables, oppure si installa una versione linux adatta a questo scopo. Ce ne sono diverse, una delle più semplici è Smoothwall.

In questo modo utilizzi una sola connessione, ma è come se il server web fosse su una rete diversa. Di solito è chiamata DMZ questa soluzione (zona demilitarizzata).

La parte a cui bisogna prestare più attenzione sono ovviamente le impostazioni del firewall.

Attualmente la lan è dietro un firewall cisco pix

DigitalKiller · 05-08-2005, 14:58

Quote:

Originariamente inviato da DigitalKiller

Attualmente la lan è dietro un firewall cisco pix

up!

WebWolf · 05-08-2005, 16:52

Ho guardato ora le caratterisctiche del firewall hardware che avete, immagino sia della serie 500.

E' un sistema, suppongo, posto a monte della rete che filtra ogni pacchetto che entra.

Teoricamente dovrebbe fare le stesse funzioni di una macchina linux firewall, anzi, spesso il kernel di queste macchine è proprio un sistema linux/unix.

Però con questo frwll non hai il controllo che avresti con le tre schede di rete.

Generalmente questi firewall sono abbastanza sicuri, tutto dipende dalle policy di controllo che sono state impostate.

Se vuoi fare delle prove di vulnerabilità puoi usare, dopo aver chiesto il permesso all'amministratore e al responsabile della Sicurezza, programmi tipo nmap o nexuss.

Purtroppo con hardware di questo tipo ho avuto a che fare solo con un zywall 5 e non saprei cosa consigliarti.

03-08-2005, 16:42	#1
DigitalKiller Senior Member Iscritto dal: Aug 2004 Città: Salento Messaggi: 1080	Sicurezza web-server/lan Non so in quale sezione aprire questo 3d in quanto l'argomento riguarda sia linux che le reti...Se ho sbagliato chiedo scusa ai mod.. Devo mettere online un'applicazione web che ho sviluppato. Sul web server, insieme a questa applicazione, girerà un programma in java che legge i dati da un iSeries e li carica in mysql. Il problema è proprio questo..se qualcuno riuscisse a bucare il server, avrebbe accesso a tutta la rete aziendale, compreso l'iSeries (anche se su quest'ultimo non farebbe danni). Mi è stato suggerito di attivare un'altra linea adsl e di installare una seconda scheda di rete. In questo modo avrei un'interfaccia rivolta verso la lan ed un'altra verso l'esterno. Mi è stato anche detto di scrivere uno script (forse in perl) per aprire e chiudere le due interfacce (aprire quella verso l'esterno e contemporaneamente chiudere quella verso l'inerno e viceversa). Così facendo, però, il sito risulterebbe irraggiungibile per alcuni minuti (per tutta la durata dell'aggiornamento) diverse volte al giorno... Come soluzione non mi sembra ottimale! Esistono altre possibilità?

03-08-2005, 22:02	#2
WebWolf Senior Member Iscritto dal: Nov 2004 Città: Reggio Emilia e dintorni Messaggi: 3726	Non ho ben capito cosa ti han detto di fare, però intanto è meglio specificare come è l'attuale situazione. Generalmente si utilizza una macchina (linux) che funziona da firewall. Questa macchina può essere dotata di 3 schede di rete: 1, 2 e 3. La 1 va al router. La 2 va alla rete interna. La 3 va ai servizi accessibili dall'esterno (web server, ecc). Le policy di accesso si possono definire con le iptables, oppure si installa una versione linux adatta a questo scopo. Ce ne sono diverse, una delle più semplici è Smoothwall. In questo modo utilizzi una sola connessione, ma è come se il server web fosse su una rete diversa. Di solito è chiamata DMZ questa soluzione (zona demilitarizzata). La parte a cui bisogna prestare più attenzione sono ovviamente le impostazioni del firewall. __________________ Open CD ITA - Open DVD ITA - Linux da Zero - RFC1925 - O.S.: Debian & Slackware - Rule #1: It has to work ! AVERE DELLE CONOSCENZE E NON CONDIVIDERLE E' COME NON AVERE NULLA

05-08-2005, 16:52	#5
WebWolf Senior Member Iscritto dal: Nov 2004 Città: Reggio Emilia e dintorni Messaggi: 3726	Ho guardato ora le caratterisctiche del firewall hardware che avete, immagino sia della serie 500. E' un sistema, suppongo, posto a monte della rete che filtra ogni pacchetto che entra. Teoricamente dovrebbe fare le stesse funzioni di una macchina linux firewall, anzi, spesso il kernel di queste macchine è proprio un sistema linux/unix. Però con questo frwll non hai il controllo che avresti con le tre schede di rete. Generalmente questi firewall sono abbastanza sicuri, tutto dipende dalle policy di controllo che sono state impostate. Se vuoi fare delle prove di vulnerabilità puoi usare, dopo aver chiesto il permesso all'amministratore e al responsabile della Sicurezza, programmi tipo nmap o nexuss. Purtroppo con hardware di questo tipo ho avuto a che fare solo con un zywall 5 e non saprei cosa consigliarti. __________________ Open CD ITA - Open DVD ITA - Linux da Zero - RFC1925 - O.S.: Debian & Slackware - Rule #1: It has to work ! AVERE DELLE CONOSCENZE E NON CONDIVIDERLE E' COME NON AVERE NULLA

Strumenti
Mostra una versione stampabile Invia questa pagina per email